Kritisches SSL Update am 9. Juli

tux.

Member
Und darum, ob man OpenSSL nicht besser durch etwas ersetzen sollte, das nicht von Grund auf kaputt ist.
 

JackCarver

Well-known Member
Sicher hat sich über Nacht die Berichterstattung auf den Seiten geändert, wo du dich informierst. Die scheinen alle pro LibreSSL eingestellt zu sein.

Auch wenn du das nicht Glauben magst sag ich das gerne nochmal:
Egal ob man nun LibreSSL oder OpenSSL verwendet, man ist bei beiden ähnlich gut gesichert.
OpenSSL macht aktive Pflege ihres Produktes und das langt mir. Ich weiß ja nicht was du für ein OS verwendest, aber es scheint wohl eines zu sein, wo es nie Updates gibt, da es in jeder Hinsicht perfekt ist...Denk mal drüber nach!

Edit:
PP hat dir ihren Standpunkt ja klar gemacht, den ich absolut nachvollziehen kann. Keiner hindert dich daran privat LibreSSL einzusetzen wo auch immer du das möchtest.
 

tux.

Member
Ich verwende Windows (wo OpenSSL höchstens für irgendwelche Spielereien wie "Mails lesen mit Emacs" gebraucht wird) und OpenBSD (wo LibreSSL Standard ist).
 

JackCarver

Well-known Member
Beide nicht fehlerfrei, nicht wahr? Warte einfach mal ab und du wirst die Bugs in LibreSSL gezeigt bekommen. Es ist n neues Produkt und man versucht aus den Fehlern von OpenSSL zu lernen, was ich auch gut finde. Nichtsdestotrotz ist OpenSSL der Platzhirsch und nicht LibreSSL, das respektiere ich und solange sie ihr Produkt up to Date halten, seh ich Null Anlass zum Libre Fork zu wechseln.
 

tux.

Member
Beide nicht fehlerfrei, nicht wahr?

Nie behauptet. Allerdings ist es wirklich erschreckend bisher. Wie steht's aktuell, 20:0 oder schon 25:0? Kann ja sein, dass es in der nächsten Halbzeit besser wird, aber ... :)

Nichtsdestotrotz ist OpenSSL der Platzhirsch und nicht LibreSSL

Was ist denn das für ein Argument? "Ich nutze lieber x, es ist zwar aktuell schlechter als y, aber alle anderen nutzen das auch"?
 

JackCarver

Well-known Member
Keine Ahnung was du mit deiner Halbzeit meinst....
Ich hab dir gesagt, dass es nicht besser ist, also sticht dein Argument nicht. Nutze LibreSSL spricht dich nix dagegen, respektiere PP wenn die erstmal bei OpenSSL bleiben, was auch echt Sinn macht. Wenn sie auf jeden neuen Zug sofort aufspringen ohne sich erstmal Zeit zu lassen zu checken ob der neue wirklich besser ist, kommen sie aus demSpringen nicht mehr raus.
 

tux.

Member
Ich hab dir gesagt, dass es nicht besser ist

Und das war halt Unsinn.

Perfect Privacy dient auch einem Sicherheitsaspekt. Wenn unzählige OpenSSL-Lücken in LibreSSL nicht vorhanden sind und immer weitere dazu kommen, muss man schon gewaltig verbohrt sein, um immer noch "abzuwarten, ob der neue wirklich besser ist". Der "neue Zug" ist in voller Fahrt, selbst in der Linuxwelt hat es inzwischen OpenSSL in manchen Distributionen standardmäßig abgelöst.

Steht alles in diesem neuen Medium, diesem Internet. Das wird sicher auch mal ganz groß. ;)
 

JackCarver

Well-known Member
Ja lass gut sein, es wird langsam bissl kindisch alles. Lern einfach mal die Meinung anderer, in diesem Fall von PP, zu akzeptieren. Vielleicht ist das erstmal wichtiger für dich, als abwarten zu lernen.
 

tux.

Member
Ich akzeptiere die Meinung "von PP", dass man aus m.E. nur halbgaren Gründen "erst mal" bei OpenSSL bleiben möchte, und würde mir wünschen, dass du meine akzeptierst, dass das nicht klug ist.
 

JackCarver

Well-known Member
Ich nutze OSX, es gab in letzter Zeit immer wieder Bugs etc. Deswegen Wechsel ich dort auch nicht...warum? Weil sie was dagegen machen und genau darum geht es hier. Ich hab dir Eingangs gesagt, dass selbiges auch bei LibreSSL kommen wird man muss nur abwarten. Na das Wort schonmal gehört? That's all
 

tux.

Member
Ach, OSX. Da ist man ja Schlimmes gewohnt. Da geht man ja inzwischen zu -1days über, 0days sind zu Mainstream.

(Entschuldige, das war etwas unsachlich.)
 

JackCarver

Well-known Member
So wie der Rest deiner Argumente. Du hast wohl nicht allzuviel Ahnung, verlässt dich auf die Regenbogenpresse und erzählst anderen nach. Sammel einfach mal bissl Erfahrung dann blickst du das irgendwann.
 

tux.

Member
Regenbogenpresse? Die Regenbogenpresse ist doch die, die jubelnd auf Apple-Keynotes sitzt ... :)

Ich bin jetzt aber ziemlich interessiert: Wo genau fehlt mir die Erfahrung, die du vorzuweisen hast?
 

PP Frank

Staff member
Leute, Klappe zu... Also hier irgendwelches OS-Bashing kann ich nich ab. Das war bei ST gegen Amiga noch Witzig, aber spätestens bei Windows - Linux zum Kotzen.

Linux und MacOS sind jeweils für ihre Anwendungsgebiete hervorragende Betriebsysteme. Ich setze beide auch gerne ein und jedes erfüllt seinen Zweck. Mit der Mischung aus beidem hat man nämlich was richtig gutes.....

Wegen LibreSSL: Ich persönlich sehe auch nicht unbedingt den Grund zu wechseln. OpenSSL hat sicherlich mehr Aufmerksamkeit wo derzeit mehr Probleme entdeckt werden. Vielleicht ist das sogar der Vorteil von OpenSSL. Das sind Dinge über die man streiten kann. Man sollte ABER NICHT irgendeinen Murks erwarten. Das sind einfach Sachen wo es Vor und Nachteile hat.

Und bitte: Wir müssen doch echt nicht zu jedem Murks extra Stellung beziehen. Nicht das mir morgen einer um die Ecke kommt und meint "Warum nutzt ihr nich MS Server. Bezieht mal Stellung".....
 

JackCarver

Well-known Member
Und bitte: Wir müssen doch echt nicht zu jedem Murks extra Stellung beziehen.

Korrekt, ist eure Entscheidung und zwar ausschließlich. Das ständige Gemaule in letzter Zeit wegen irgendwelchen Mücken, die regelmäßig zu Elefanten gebloatet werden ist nervig. Ich hoffe zwar nicht, dass ihr euch MS Server holt, aber naja, wenn's läuft dann läufts ;)
 

Loreas

Junior Member
Naja, gerade OpenVPN ist von dem Bug betroffen. Nimmt es doch OpenSSL zum Authentifizieren, oder nicht?
 

JackCarver

Well-known Member
Naja, gerade OpenVPN ist von dem Bug betroffen. Nimmt es doch OpenSSL zum Authentifizieren, oder nicht?

In erster Linie ist OpenSSL von dem Bug betroffen. Da es dort nun nen Patch gibt, ist der Bug systemseitig erledigt. Wenn nun eine andere App OpenSSL nutzt und das gepatchte OpenSSL verwendet, so ist diese ebenfalls nicht betroffen. Verwendet eine App allerdings eine eigene OpenSSL Version, die noch von dem Bug betroffen ist, so auch die App.

Edit:
Die Angriffsfläche ist relativ klein:
http://www.heise.de/security/meldun...t-gefaelschte-Server-Zertifikate-2747563.html

OpenVPN scheint da wohl ne Ausnahme zu sein, die betroffen ist.
 
Last edited:
Top